Tietosuojaseloste, Pyöräpassi & Talli
Viimeksi päivitetty: 2.7.2026. Status: yksityishenkilön harrasteprojekti / maksuton pilottivaihe.
Tässä tietosuojaselosteessa kerrotaan, miten Pyöräpassi- ja Talli-palveluissa (jäljempänä "Palvelu") kerätään, käsitellään, säilytetään ja suojataan käyttäjien henkilötietoja. Seloste on laadittu EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti.
1. Rekisterinpitäjä
- Nimi / yhteisö: Yksityishenkilön harrasteprojekti (Talli- ja Pyöräpassi-ekosysteemi).
- Yhteyshenkilö: Kim Laine
- Sähköposti: info@talli.bike
Koska kyseessä on harrastetoimintana ylläpidettävä pilottivaiheen palvelu, rekisterinpitäjällä ei ole Y-tunnusta, mutta tietojen käsittelyssä noudatetaan huolellisuutta ja hyvää tietosuojakäytäntöä.
2. Käsittelyn tarkoitukset ja oikeusperusteet
Henkilötietoja käsitellään seuraavia tarkoituksia varten:
- Palvelun tarjoaminen ja ylläpito: käyttäjätilien hallinta, salasanaton kirjautuminen (magic-link) ja polkupyörien digitaalisen rekisterin ("Oma talli") ylläpito.
- Markkinapaikan toiminta: ilmoitusten jättäminen, myyjien ja ostajien välinen sisäinen viestintä sekä kauppiasprofiilien hallinta.
- Turvallisuus ja varkauksien esto: varastettujen pyörien raportointi, runkonumerotarkistukset sekä yhteisön jättämien vihjeiden välittäminen pyörän omistajalle.
- Automaattinen moderointi ja väärinkäytösten esto: tekstien ja kuvien automaattinen skannaus roskapostin, huijausten ja laittoman sisällön tunnistamiseksi.
Käsittelyn oikeusperusteet:
- Sopimus / palvelun tarjoaminen: tietojen käsittely on välttämätöntä alustan palveluiden (kuten Pyöräpassin luomisen tai viestien välityksen) toteuttamiseksi käyttäjän pyynnöstä.
- Suostumus: käyttäjä antaa suostumuksensa esimerkiksi ladatessaan kuitteja huoltokirjaan tai antaessaan puhelinnumeronsa myynti-ilmoitukseen.
- Oikeutettu etu: palvelun turvallisuuden varmistaminen, automaattinen moderointi ja väärinkäytösten estäminen.
3. Käsiteltävät henkilötiedot
- Käyttäjän perustiedot (profiili): sähköpostiosoite (kirjautumista ja ilmoituksia varten) sekä mahdolliset käyttäjän itse antamat profiilitiedot ja arvostelut.
- Pyöräpassi- ja rekisteritiedot: pyörän yksilöivät tiedot (runkonumero, merkki, malli, väri, vuosimalli, valokuvat), digitaalinen huoltokirja (huoltotapahtumat, kustannukset ja liitetyt kuittikuvat) sekä omistajuushistoria.
- Markkinapaikan tiedot: myynti-ilmoitusten sisältö (kuvat, kuvaukset, hintapyynnöt), myyjän tyyppi (yksityinen/liike), mahdollinen puhelinnumero sekä ostajien ja myyjien väliset viestit.
- Varkaus- ja havaintoraportit: varastetun pyörän katoamispaikka ja -aika, poliisin rikosilmoituksen viitenumero sekä muiden käyttäjien jättämät havaintotiedot (sijainti, kuvaus, kuva ja ilmoittajan sähköpostiosoite, joka näkyy vain ylläpidolle).
- B2B- ja kauppiastiedot: yrityksen nimi, Y-tunnus, osoite, domain-sähköposti, aukioloajat, palvelut sekä API-avaimet.
4. Tietojen säännönmukaiset luovutukset ja siirrot
Palvelun teknisen toteutuksen vuoksi tietoja käsitellään ja luovutetaan seuraaville kolmansille osapuolille:
- Supabase Inc. (tietokanta ja infrastruktuuri): käyttäjätiedot, mediatiedostot, viestit ja rekisteritiedot tallennetaan Supabasen pilvipalveluun (ensisijaisesti EU-alueen palvelimille).
- Google Gemini API (Google Ireland Limited / Alphabet Inc.): palvelu hyödyntää tekoälyä ilmoitusten ja pyörien esitäyttöön, kuittien skannaukseen sekä automaattiseen moderointiin. Rajapinnalle lähetetään käyttäjän syöttämiä tekstejä ja kuvia. Tietoja käsitellään reaaliaikaisesti, eikä niitä käytetä Googlen toimesta tekoälymallien yleiseen kouluttamiseen.
- Bike Index API (ulkoinen tarkistus): jos runkonumeroa ei löydy omasta tietokannasta, palvelu tekee automaattisen haun kansainväliseen Bike Index -rekisteriin. Tässä yhteydessä välitetään ainoastaan haettava runkonumero, ei käyttäjätietoja.
- Sähköpostipalveluntarjoaja: kirjautumislinkit, viesti-ilmoitukset ja hakuvahdin osumat välitetään käyttäjille SMTP-sähköpostipalvelun kautta.
- Google Analytics 4 (Google Ireland Limited / Google LLC): palvelu mittaa kävijämäärää ja käyttöä Google Analytics 4:llä. Analytiikkatunnisteet asetetaan vain, jos käyttäjä antaa suostumuksen evästebannerissa (Google Consent Mode v2; kaikki mittaus on oletuksena estetty). Google voi siirtää tietoja EU:n ulkopuolelle Yhdysvaltoihin EU:n vakiolausekkeiden / Data Privacy Frameworkin nojalla. IP-osoitteet käsitellään anonymisoituina.
5. Evästeet, analytiikka ja suostumus
Palvelu käyttää evästeitä ja vastaavia tunnisteita kahteen tarkoitukseen:
- Välttämättömät: kirjautumisen ja istunnon ylläpito (Supabase-todennus) sekä evästevalintasi muistaminen. Nämä ovat palvelun toiminnan kannalta pakollisia eivätkä vaadi suostumusta.
- Analytiikka (valinnainen): Google Analytics 4 kävijämäärän ja käytön mittaamiseen (ks. kohta 4). Näitä evästeitä ei aseteta ennen kuin annat suostumuksen.
Kun avaat Palvelun ensimmäistä kertaa, näet evästebannerin, jossa voit joko hyväksyä analytiikan tai valita "Vain välttämättömät". Kaikki analytiikkamittaus on oletuksena estetty (Google Consent Mode v2), kunnes annat suostumuksen. Voit peruuttaa suostumuksesi tyhjentämällä selaimesi evästeet. Palvelu ei käytä mainosverkostoja eikä myy tietoja kolmansille osapuolille.
6. Tietojen julkisuus alustalla
Käyttäjän tulee huomioida, että tietyt alustalle syötetyt tiedot ovat luonteensa vuoksi julkisia:
- Markkinapaikalle jätetyt myynti-ilmoitukset kuvineen ja hintoineen ovat kenen tahansa selattavissa.
- Pyöräpassin julkinen jako-linkki näyttää pyörän tiedot ja huoltohistorian, mutta ei omistajan henkilötietoja eikä huoltojen kustannuksia.
- Varastetut-seinällä näytetään pyörän tiedot ja katoamispaikka, mutta runkonumero on osittain peitetty eikä omistajan henkilöllisyyttä paljasteta.
7. Tietojen säilytysaika
- Käyttäjätilin tiedot: säilytetään niin kauan kuin tili on aktiivinen. Jos käyttäjä pyytää tilinsä poistamista, henkilötiedot poistetaan.
- Pyöräpassin historia: koska Pyöräpassi toimii pyörän pysyvänä historia- ja omistajuuspääkirjana, pyörän tekniset tiedot ja huoltohistoria säilyvät alustalla, vaikka pyörä siirretään digitaalisella luovutuskirjalla uudelle omistajalle. Siirron yhteydessä edellisen omistajan henkilötiedot irrotetaan pyörän tiedoista.
- Varkausilmoitukset ja vihjeet: säilytetään, kunnes pyörä merkitään löytyneeksi tai ilmoittaja pyytää poistamista.
8. Rekisteröidyn oikeudet
Käyttäjällä on oikeus:
- Tarkastaa itseään koskevat Palveluun tallennetut tiedot.
- Vaatia virheellisen tai puutteellisen tiedon korjaamista.
- Pyytää tietojensa poistamista ("oikeus tulla unohdetuksi"), siltä osin kuin se ei vaaranna jo suoritettujen pyöräpassisiirtojen ketjun eheyttä.
- Peruuttaa antamansa suostumus (esimerkiksi poistamalla vapaaehtoisesti lisäämänsä tiedot tai ilmoitukset).
Voit tehdä pyynnön joko tietopyyntölomakkeella (talli.bike/tietopyynto) tai sähköpostitse kohdassa 1 mainittuun osoitteeseen. Käsittelemme pyynnön 30 vuorokauden kuluessa. Ennen tietojen luovutusta tai poistoa varmistamme henkilöllisyytesi vastaamalla rekisteröityyn sähköpostiosoitteeseesi, jotta kukaan ei voi pyytää toisen henkilön tietoja.
Poistoprosessi: poistopyynnön yhteydessä poistetaan käyttäjätilisi ja siihen liittyvät henkilötiedot (profiili, myynti-ilmoitukset, viestit ja profiilin yhteystiedot). Pyöräpassin omistajuus- ja huoltoketjun eheyden vuoksi pyörän tekniset tiedot voivat säilyä pysyvänä historiapääkirjana, mutta henkilötietosi irrotetaan niistä (ks. kohta 7). Vahvistamme poiston sinulle sähköpostitse, kun se on tehty.
9. Tietojen suojaus
Palvelu hyödyntää moderneja ja turvallisia pilvipalveluita (Supabase). Pääsy tietokantoihin on suojattu käyttöoikeuksien hallinnalla (RLS, Row Level Security), mikä varmistaa, että esimerkiksi yksityiset viestit tai "Oman tallin" suojatut tiedot näkyvät vain niihin oikeutetuille osapuolille. B2B-rajapinnan API-avaimet tallennetaan järjestelmään tietoturvallisesti tiivisteinä.